Spam Kampagne
Check Point und Kaspersky decken Hacker-Kampagne gegen Uiguren auf
Spam-E-Mails, Missbrauch der Vereinten Nationen
Es werden Spam-E-Mails, die das Logo und den Namen der Vereinten Nationen missbrauchen, an Uiguren gesendet. Dieses muslimische Volk war wegen seiner Verfolgung und Unterdrückung in China in den letzten Jahren oft in den Schlagzeilen.
Die Security-Forscher von Check Point Research haben im Verbund mit Kasperskys Global Research & Analysis Team (GReAT) die Attacken gegen die ethnische Minorität der Uiguren aufgedeckt. Ziel der Attacken sind Menschen in Xinjiang, der autonomen Provinz dieses Volkes im Nord-Westen Chinas, und im angrenzenden Pakistan. Es scheint dabei so, dass die E-Mails gezielt an bestimmte Leute oder Einrichtungen der Uiguren geschickt werden, da bislang nur eine Handvoll Opfer von den Sicherheitsforschern ausgemacht wurde – was jedoch erst die Spitze des Eisbergs sein kann.
Lotem Finkelsteen, Head of Threat Intelligence bei Check Point, berichtet über die Entdeckung: „Wir sehen gezielte Angriffe, die den UN-Menschenrechtsrat missbrauchen, um die Uiguren zum Herunterladen von Malware zu verleiten. Wir vermuten Spionage als Triebfeder der Attacken, weil das Ziel der Operation die Installation einer Hintertür in den Computern von hochrangigen Personen der uigurischen Gemeinschaft ist. Die Malware ist darauf ausgelegt, Abbilder der infizierten Geräte zu erstellen, einschließlich aller laufenden Programme. Soweit wir wissen, werden diese Angriffe fortgesetzt und es wird zugleich eine neue Infrastruktur für weitere Attacken geschaffen.“
Hacker schicken betrügerische E-Mails an Uiguren und verkleiden diese mit dem Logo der Vereinten Nationen (UN) sowie der Signatur einer erfundenen Bürgerrechtsbewegung namens Turkic Culture and Heritage Foundation. Auf diese Weise möchten sie die Menschen dazu bringen, ein infiziertes Word-Dokument namens UgyhurApplicationList.docx herunterzuladen und zu öffnen – dieses trägt das Logo des Rates für Menschenrechte der Vereinten Nationen (UNHCR) und enthält als Köder Auszüge aus einer Diskussion des Rates über Menschenrechtsverletzungen. Daraufhin wird eine Malware installiert, die eine Hintertür in Windows-Systeme einbaut, um Spionage zu ermöglichen. Die Täter können dann beinahe jede Information stehlen, nach der es sie verlangt, und weitere Malware auf den Rechnern installieren. Perfide dabei: Die Domäne, welche das infizierte Dokument im Internet aufruft, löst über die gleiche IP-Adresse auf, wie eine Webseite, die sich von April bis Dezember 2020 als UNHCR ausgab, nämlich unohcr.org. Die echte Adresse des Menschenrechtsrates lautet jedoch: ohchr.org.
Außerdem kann die Infektion über die Webseite der falschen Stiftung erfolgen, die den Uiguren einen finanziellen Zuschuß verspricht – auch sie löste mit derselben IP-Adresse auf, wie das Word-Dokument. Dabei verschleiert die Webseite ihre kriminelle Intention sehr gut. Erst nach der Bitte um die Unterstützung wird der verbrecherische Apparat in Gang gesetzt. Vor der Anmeldung für das Hilfsprogramm sollen die Menschen einen Security Scanner herunterladen, weil die Stiftung sicher gehen müsse, dass die Systeme sauber sind, bevor sensible Informationen für die Transaktion ausgetauscht werden sollten. Der betrügerische Scanner steht für MacOS von Apple und Windows von Microsoft zum Download bereit.
In Wirklichkeit baut er eine .NET-Hintertür in das System ein – danach müssen personenbezogene Informationen in ein Formular eingetragen werden. Ein großer Teil der Webseite dieser betrügerischen Stiftung scheint von der Internetseite einer echten Stiftung kopiert worden zu sein, nämlich der Open Society Foundation, eine nicht-regierungs Organisation (NGO) des ungarisch-stämmigen US-Milliardärs und Börsen-Investors George Soros.
Die Security-Forscher konnten in der Infrastruktur oder im Code keine Ähnlichkeit zu bekannten Hacker-Gruppen finden. Jedoch vermuten die sie einen chinesisch-sprachigen Angreifer hinter der Tat, allerdings nur bei geringer bis mittlerer Überzeugung, weil der Code hinter den schädlichen Makros im Word-Dokument einige Ausschnitte beinhaltet, die identisch sind zu einem VBA-Code, welcher in verschiedenen chinesischen Foren aufgetaucht ist und vielleicht sogar von dort kopiert wurde.